A. 玩英雄聯盟就卡死機的解決方法
有些小夥伴發現一打開英雄聯盟就死機的現象,非常苦惱。下面是我為你整理的玩英雄聯盟就卡死機的解決技巧,希望對大家有幫助!
玩英雄聯盟就卡死機的解決技巧
電腦內存不足
1在“我的電腦"位置上右鍵一下。
2右鍵後,彈出一個短短的列表。
3在列表中,我們點擊屬性這一選項。
4點擊屬性後,彈出窗口。
5在窗口中,我們可以看到電腦內存多大,再對比下游戲要求的最低配置,如果是內存不足,則有必要更換下電腦的硬體支持了。
END
驅動故障
建議下載個驅動大師軟體。
下載好軟體並安裝,然後打開這個軟體。
3打開後,自動檢測電腦驅動問題,一鍵式安裝修復。
lol英雄聯盟專業術語大全
現在玩lol的玩家越來越多了,而這款團隊配合游戲在合作的時候如果隊友的術語你聽不懂那就悲催了哦,下面跑跑車就帶來英雄聯盟專業術語讓你好好學習下吧。
T:指Tank,肉盾,護甲高,血量多,能夠承受大量傷害的英雄。
DPS:damage per second,傷害每秒,特指能夠對敵人造成大量傷害的英雄。
AD:是指以物理傷害為主的一類英雄。
ADC:是指以遠程物理傷害為主的一類英雄。
AP:是指以法系傷害為主的一類英雄。
APC:是指以遠程法系傷害為主的一類英雄。
Carry:後期,核心,需要大量的金錢去堆積裝備的英雄,成型後威力很大,起決定性作用。
Gank:GangbangKill的縮寫,游戲中的一種常用戰術,指兩個以上的英雄並肩作戰,對敵方英雄進行偷襲、包抄、圍殺。通常是以多打少,又稱“抓人”。
Stun:帶有眩暈效果的技能的總稱,也指打斷對手持續性施法和施法動作的打斷技。
Solo:一條線路上一個人,指英雄單獨處於一路兵線上與敵人對峙,經驗高升級速度遠超其他兩路。兩名玩家一對一單獨對抗,無其它人干預。
Aoe :area of effect,效果范圍,引申為有范圍效果的技能
補刀:指對血量不多的小兵造成最終一擊的技術,也就是攻擊小兵最後一下獲得小兵的金錢,也可指對英雄的最後一擊獲得金錢。
KS:Kill Steal的簡稱,指專門對敵方英雄造成最後一下傷害獲得金錢和殺人數,而實際上對這個英雄的多數傷害是由隊友造成的,又稱“搶人頭”。
兵線:指雙方小兵交戰的線路位置。
對線:指己方英雄和敵方英雄在兵線附近對峙。
控線:高手們通過技能和補刀,把兵線停留在自己希望的地方。
推線:運用技能或者高攻擊,快速消滅敵方小兵,並帶領己方小兵威脅或摧毀敵方防禦塔。
清兵:運用技能或者高攻擊,快速消滅敵方小兵,獲取金錢。又稱刷兵打錢,英文“farm”。
沉默:可以移動,能夠進行物理攻擊,但不可以使用技能。
禁錮:不能移動,能夠使用技能,但不可以進行物理攻擊。
眩暈:不能移動,不能攻擊,不能使用技能。
召喚師技能:英雄控制者(玩家)自己可以選定的技能,和使用的英雄無關。
技能:英雄一共擁有5個技能,一個英雄專屬的被動技能;4個為英雄普通技能普通技能的4個施放鍵對應為Q、W、E、R,其中前3個技能最高5級、最後一個R鍵技能為大招,最高3級。)
攻擊距離:一個技能的距離就是離目標多遠的時候這個技能仍然對目標使用。這個距離通常可以通過將滑鼠移至技能圖標上查看;當你使用技能時屏幕上會出現一個施法距離的指示。
范圍:有些技能可以同時影響多個目標,這有很多種途徑可以實現,不過很多技能都有一個范圍的效果指示告訴你這個技能會影響的區域。圓圈是范圍效果的其中一種,圓形區域的技能通常可以通過一定距離施放。另一種范圍效果是錐形范圍,通常以英雄位置為范圍起點施放。多目標技能還有很多種其它形式。
消耗:大多數技能都有其固定的消耗,有的消耗法力值,有的則消耗生命值,還有些英雄有特殊的消耗。要使用一個技能,英雄的屬性必須要足夠支撐這些消耗,否則將不能使用這個技能。召喚者法術沒有消耗。
冷卻時間:技能使用後只能經過一段固定時間後再次使用,這就是冷卻。有的技能冷卻時間非常短,甚至低於一秒,它們可以經常使用。另外一些技能的冷卻時間則很長,幾分鍾才能使用一次。
特效:特效通過游戲中的技能、增益、法術和道具獲得,它們會改變一個單位的基礎狀態。游戲中有很多不同種類的特效,了解它們是玩好傳奇聯盟 的一個必須環節。
護甲:護甲是一個可以減少單位受到的物理傷害的屬性。部分技能、道具和怪物的增益具有提高或者減少一個單位護甲的效果。
攻擊速度:攻擊速度是提升一個單位攻擊速度的屬性。部分技能和道具具有提高或者減少一個單位攻擊速度的效果。
傷害:傷害是一個單位攻擊目標是扣去目標多少生命值的屬性。部分技能會對單位造成直接傷害,有些技能、物品和增益具有提高或者減少一個單位所受到傷害的效果.
恐懼:恐懼效果會使他們的目標失去控制並且在效果持續時間內隨機亂跑.
金錢:英雄在游戲過程中通過殺掉單位持續積累金錢。部分物品、技能和天賦可以使英雄更快地獲得金錢。
抓取:抓取效果會把一個單位拉到使用這個抓取效果單位的身邊.
治療:治療效果使一個單位回復生命值。有些治療效果是立即生效的,有些則是在一段時間內持續回復生命值。部分技能和物品有降低目標受到治療的效果。
無敵:無敵效果保護單位使其免疫一切受到的傷害。它不保護單位受到其它效果影響
擊退:擊退效果會把單位推到他受到擊退效果方向的相反方向.
生命偷取:生命偷取效果可以使英雄攻擊後按傷害的百分比回復生命。
恢復:恢復效果可以使一個單位加快他的生命值和/或法力值補充速度.
復活:復活效果可以使一個死亡的英雄復生而不需要等待死亡時間。
沉默:沉默效果會阻止單位使用技能或法術。
減速:減速效果會降低一個單位的移動速度。
潛行:潛行效果可以使敵對單位無法看到除非他們有偵測潛行的技能。
昏迷:昏迷效果會使一個單位短時間內不能移動或者使用技能和法術。它還會使正在引導和施放中的法術取消.
河道:中間橫向的一條將地圖分割為2的道路叫做河道。
外塔:從河道開始數第一個塔。
中塔:從河道開始數第二個塔。
內塔:從河道開始數第三個塔。
超級兵:攻擊力190的兵叫超級兵。
兵營:攻破就會出超級兵的建築叫兵營。
基地:攻破導致勝負的建築叫做基地。
主塔:基地旁2個會回血的塔叫做主塔。
守護塔:商店裡面999攻擊的塔叫守護塔。
召喚水晶:介於內塔和主塔之間的建築,當其被摧毀之後敵方將會派出超級士兵。
野怪:不會主動攻擊的單位稱為野怪。
對線:雙方英雄對峙叫對線。
混線:受到壓制混經驗叫混線。
上路:左邊的一條道路叫上路。
中路:中間的一條道路叫中路。
下路:右邊的一條道路叫下路。
兵線:小兵走過的道路叫兵線
符文:召喚師可購買符文來增強英雄的能力(不同的英雄可使用不同的符文)。
草叢:地圖上主要道路邊的草叢,在草叢中的單位可以隱蔽,草叢外的敵人無法看到你,但是你可以看到草叢外的敵人。
物理攻擊:普通攻擊,簡稱物攻。
魔法攻擊:技能攻擊,簡稱法傷,英文簡寫AP,。
護甲:物理防禦,減免受到物理攻擊的傷害。
魔抗:魔法防禦,減免受到技能攻擊的傷害。
CD:Cool down,技能冷卻時間,技能再次釋放所需要的時間,在CD中的技能無法使用。
BUFF:殺死特定的野怪後獲得增益魔法,持續一段時間後消失,若持有BUFF的同時被殺死,那麼敵人將獲得這個BUFF的增益效果。
假眼:崗哨守衛,隱形,可以顯示周圍的區域。
真眼:真視之眼,隱形,可以顯示周圍的區域,並且可以偵測隱形。
超級兵:在己方兵營被摧毀後,敵方會生產超級兵,擁有超高攻擊,超高防禦以及超多的血量,在己方兵營重建後敵方會停止生產超級兵。
陣亡通知書:英雄死亡後,可以查看陣亡通知書,上邊記錄了你受到的傷害值和傷害來源。
AP:魔法傷害
AD:物理傷害
ULT:大招,R鍵技能。
美服常用術語
b = 回來,撤退,敵人們去搞你了。意義就等同於國內DOTA里的3。
back = 撤退,敵人們去搞你了。意義就等同於國內DOTA里的3。
care = 小心,他們可能想搞你。
brb=be right back 馬上回來。
oom = 沒魔法值了。人家沒魔法值就用不了技能,所以不要指望他給你技能上的援助(好像是廢話)
lom = 魔法值很少了。意思就是人家可能就只能放1到2個技能,你要搞人的時候要想到這點。
focus = 集中搞一個。就是說你們整隊人在團戰的時候,先把某個敵方特定英雄弄翻。
top, mid, bottom = Lol中的上,中,下路。有的老外喜歡把TOP和BOTTOM分別用LEFT和RIGHT來表示。
mia=missing in action 一般用於top mia,mid mia,bot mia意指上,中,下路目標失蹤
neuts = 野怪
neutrals = 生活在叢林里的猛獸們。
bush=草叢,LOL里可以把英雄藏在裡面而不被外面的人發現
grass=還是草叢,LOL里可以把英雄藏在裡面而不被外面的人發現
sigils=玩家打敗遠古傀儡和蜥蜴長老後所獲得的臨時增益效果。這些增益效果將在持有人被殺死後轉移到殺手身上。
國服常用術語
ID:你的游戲角色名字
HP:指自己召喚師的生命值
FB:1血,也是DOTA類游戲的魅力之一,FB的全稱是firstblood,指第一個殺死的英雄,不光有擊殺英雄的獎勵,還會額外的獎勵的100元(殺英雄本身獲得300)
3:閃人,撤退
b:閃人,撤退
卡:機器卡,網路延遲,伺服器卡
Lag:一般是指網路延遲,當然有時候也是因為電腦的原因,總體意思和“卡”差不多。
Combo:由2個或者2個以上的英雄進行配合,打出的連招或者組合技。
Aoe:范圍傷害,范圍攻擊。
Gank:遊走殺人,限制對方英雄發展(一般簡稱抓人)
KS:搶人頭
補刀:對方的小兵要沒血的時候,砍他最後一下,獲取金錢
ult:大招
push:推進,進攻。
farm:打兵賺錢
afk:人不在電腦面前,離開,英雄掛機等等。
bd:偷塔
mia:敵人在地圖上消失,讓隊友提高警惕
miss:對線英雄在所在路消失,同上
noob:菜鳥
Jungling:打野
打野:殺地圖上的中立怪物
拉野:依靠走位視野陰影等方式對野怪進行擊殺,通常這種殺怪方式比正常的殺怪方式要慢一些,但是耗血比較少。
控線:就是把自己的小兵控制在自己的塔附近,防止自己被對方gank,也便於讓自己人gank對方。
全屏流:是指技能釋放的覆蓋面非常大。當然全屏傳送也應該算做全屏流
包眼:整場比賽買眼睛。一般是由輔助英雄來做。
PUB:路人局
BAN人:特定模式中(排位賽)禁用對方英雄
AP:魔法傷害
AD:物理傷害
ARM/Armor:物理護甲
MR/Magic Resistance:魔法抗性
buff:自己或者友方英雄身上的增益性魔法效果
debuff:自己或者友方英雄身上持續性的負面魔法效果
黑店:指游戲平台上幾個認識的人在一起玩
集火:集中火力攻擊一個人
先手控/先手技能:指向性的控制技能
後手控:在第一輪技能或者攻擊完以後進行第二輪技能控制
Dps:輸出傷害的英雄
Tank:肉盾,坦克,專門用於保護己方重要英雄或者吸收對方傷害。
奶媽:治療
超神:在自己不死的情況下連續殺死對方多個英雄
超鬼:自己死了很多很多次
BLINK:閃現技能
stun:帶有暈眩效果的技能
slow:帶有減速效果的技能
brb:馬上回來
彈道:遠程英雄普通攻擊出手到攻擊到敵方單位的時間
沉默:對對方英雄使用禁魔技能
持續施法:需要站在一個地方吟唱,直到法術釋放完畢。
CD:冷卻時間
神裝:能將自己攻擊或防禦達到極限的裝備,最大化輸出和生存
紅葯:加血回血
藍葯:回復魔法值
綠葯:增加暴擊攻擊速度
大藍葯:增加法傷減少CD
top:上路
bot:下路
mid:中路
base:基地/老家
care:小心
oom:沒魔了
dd :直接傷害技能。先點技能,後點目標,就可以看到效果,這就是DD的好處。比如黑暗之子安妮的Q鍵,火球。
feed :送人頭/經驗書。經常死掉從而養肥敵人的玩家(敵人通過殺他而獲得了很多金錢)。被叫做經驗書可不是一種贊美。殺經驗書的玩家會獲得很多殺人數。
ms:移動速度
gl hf:good luck have fun=祝你好運。通常會在游戲開始打這句話進行禮貌性的問候。
gg:good game。大部分時候是在游戲結束的時候,由輸的一方打出來。稱贊對方打的好,自己認輸的一種表現。
輔助:主要輔助ADC的一個角色,不補兵,帶眼,加血,主要保護ADC為目的。提示隊友各大BUFF刷新時間
小學生:指那些剛入門的玩家,對游戲的理解讓你大跌眼鏡,沒有操作,沒有意識.
團控:團體控制
點控:單人控制
shat down:擊殺對面長時間未死亡並已經至少連殺3人。可獲得500金幣
猜你喜歡:
1. 進入英雄聯盟LOL游戲界面就變卡怎麼辦
2. 一打開英雄聯盟就死機怎麼解決
3. 一打開英雄聯盟就死機怎麼辦
4. 電腦登錄lol就死機怎麼樣解決
5. lol打完一局電腦死機怎麼辦
B. 我的電腦一個Svchost.exe進程,在任務管理器中總是佔CPU90%以上,我給它結束了,就沒事了,但重啟後還有.
1.利用假冒Svchost.exe名稱的病毒程序 這種方式運行的病毒並沒有直接利用真正的Svchost.exe進程,而是啟動了另外一個名稱同樣是Svchost.exe的病毒進程,由於這個假冒的病毒進程並沒有載入系統服務,它和真正的Svchost.exe進程是不同的,只需在命令行窗口中運行一下「Tasklist /svc」,如果看到哪個Svchost.exe進程後面提示的服務信息是「暫缺」,而不是一個具體的服務名,那麼它就是病毒進程了,記下這個病毒進程對應的PID數值(進程標識符),即可在任務管理器的進程列表中找到它,結束進程後,在C盤搜索Svchost.exe文件,也可以用第三方進程工具直接查看該進程的路徑,正常的Svchost.exe文件是位於%systemroot%\System32目錄中的,而假冒的Svchost.exe病毒或木馬文件則會在其他目錄,例如「w32.welchina.worm」病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中,將其刪除,並徹底清除病毒的其他數據即可。 2:一些高級病毒則採用類似系統服務啟動的方式,通過真正的Svchost.exe進程載入病毒程序,而Svchost.exe是通過注冊表數據來決定要裝載的服務列表的,所以病毒通常會在注冊表中採用以下方法進行載入: 添加一個新的服務組,在組里添加病毒服務名在現有的服務組里直接添加病毒服務名 修改現有服務組里的現有服務屬性,修改其「ServiceDll」鍵值指向病毒程序判斷方法:病毒程序要通過真正的Svchost.exe進程載入,就必須要修改相關的注冊表數據,可以打開[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],觀察有沒有增加新的服務組,同時要留意服務組中的服務列表,觀察有沒有可疑的服務名稱,通常來說,病毒不會在只有一個服務名稱的組中添加,往往會選擇LocalService和netsvcs這兩個載入服務較多的組,以干擾分析,還有通過修改服務屬性指向病毒程序的,通過注冊表判斷起來都比較困難,這時可以利用前面介紹的服務管理專家,分別打開LocalService和netsvcs分支,逐個檢查右邊服務列表中的服務屬性,尤其要注意服務描述信息全部為英文的,很可能是第三方安裝的服務,同時要結合它的文件描述、版本、公司等相關信息,進行綜合判斷。例如這個名為PortLess BackDoor的木馬程序,在服務列表中可以看到它的服務描述為「Intranet Services」,而它的文件版本、公司、描述信息更全部為空,如果是微軟的系統服務程序是絕對不可能出現這種現象的。從啟動信息「C:\WINDOWS\System32\svchost.exe -k netsvcs」中可以看出這是一款典型的利用Svchost.exe進程載入運行的木馬,知道了其原理,清除方法也很簡單了:先用服務管理專家停止該服務的運行,然後運行regedit.exe打開「注冊表編輯器」,刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主鍵,重新啟動計算機,再刪除%systemroot%\System32目錄中的木馬源程序「svchostdll.dll」,通過按時間排序,又發現了時間完全相同的木馬安裝程序「PortlessInst.exe」,一並刪除即可。 svchost.exe是nt核心系統的非常重要的進程,對於2000、xp來說,不可或缺。很多病毒、木馬也會調用它。所以,深入了解這個程序,是玩電腦的必修課之一。 大家對windows操作系統一定不陌生,但你是否注意到系統中「svchost.exe」這個文件呢?細心的朋友會發現windows中存在多個 「svchost」進程(通過「ctrl+alt+del」鍵打開任務管理器,這里的「進程」標簽中就可看到了),為什麼會這樣呢?下面就來揭開它神秘的面紗。發現 在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的「svchost」進程,用戶使用「任務管理器」可查看其進程數目。一般來說,win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win2003 server中則更多。這些svchost進程提供很多系統服務,如:rpcss服務(remote procere call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等。 如果要了解每個svchost進程到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入「tlist -s」命令來查看,該命令是win2000 support tools提供的。在winxp則使用「tasklist /svc」命令。 svchost中可以包含多個服務深入 windows系統進程分為獨立進程和共享進程兩種,「svchost.exe」文件存在於「%systemroot% system32」目錄下,它屬於共享進程。隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由 svchost.exe進程來啟動。但svchost進程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這里被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢? 原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程序指向 svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在注冊表中設置的參數來實現。下面就以rpcss(remote procere call)服務為例,進行講解。 從啟動參數中可見服務是靠svchost來啟動的。實例 以windows xp為例,點擊「開始」/「運行」,輸入「services.msc」命令,彈出服務對話框,然後打開「remote procere call」屬性對話框,可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost -k rpcss」,這說明rpcss服務是依靠svchost調用「rpcss」參數來實現的,而參數的內容則是存放在系統注冊表中的。 在運行對話框中輸入「regedit.exe」後回車,打開注冊表編輯器,找到[hkey_local_machine ]項,找到類型為「reg_expand_sz」的鍵「magepath」,其鍵值為「%systemroot%system32svchost -k rpcss」(這就是在服務窗口中看到的服務啟動命令),另外在「parameters」子項中有個名為「servicedll」的鍵,其值為「% systemroot%system32rpcss.dll」,其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣 svchost進程通過讀取「rpcss」服務注冊表信息,就能啟動該服務了。解惑 因為svchost進程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如沖擊波變種病毒「w32.welchia.worm」)。但windows系統存在多個svchost進程是很正常的,在受感染的機器中到底哪個是病毒進程呢?這里僅舉一例來說明。 假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:\windows\system32wins」目錄中,因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟體,如「windows優化大師」進程管理器,通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。 由於篇幅的關系,不能對svchost全部功能進行詳細介紹,這是一個windows中的一個特殊進程,有興趣的可參考有關技術資料進一步去了解它。大家都要知道Svchost.exe,是系統必不可少的一個進程,很多服務都會多多少少用到它, 但是我想大家也知道,由於它本身特殊性,高明的"黑客們"肯定是不會放過的,前段時間的Svchost.exe木馬風波,大家應該是記憶猶新吧,而且現在還是有很多機器里都藏有此木馬,因為它偽裝和系統進程Svchost.exe一樣,所以很多人分不清,那個是進程,那個是木馬.... 好的,還是讓我們詳盡了解一下Svchost.exe進程吧 1.多個服務共享一個 Svchost.exe進程利與弊 windows 系統服務分為獨立進程和共享進程兩種,在windows NT時只有伺服器管理器SCM(Services.exe)有多個共享服務,隨著系統內置服務的增加,在windows 2000中ms又把很多服務做成共享方式,由svchost.exe啟動。windows 2000一般有2個svchost進程,一個是RPCSS(Remote Procere Call)服務進程,另外一個則是由很多服務共享的一個svchost.exe。而在windows XP中,則一般有4個以上的svchost.exe服務進程,windows 2003 server中則更多,可以看出把更多的系統內置服務以共享進程方式由svchost啟動是ms的一個趨勢。這樣做在一定程度上減少了系統資源的消耗,不過也帶來一定的不穩定因素,因為任何一個共享進程的服務因為錯誤退出進程就會導致整個進程中的所有服務都退出。另外就是有一點安全隱患,首先要介紹一下svchost.exe的實現機制。 2. Svchost原理 Svchost本身只是作為服務宿主,並不實現任何服務功能,需要Svchost啟動的服務以動態鏈接庫形式實現,在安裝這些服務時,把服務的可執行程序指向svchost,啟動這些服務時由svchost調用相應服務的動態鏈接庫來啟動服務。 那麼svchost如何知道某一服務是由哪個動態鏈接庫負責呢?這不是由服務的可執行程序路徑中的參數部分提供的,而是服務在注冊表中的參數設置的,注冊表中服務下邊有一個Parameters子鍵其中的ServiceDll表明該服務由哪個動態鏈接庫負責。並且所有這些服務動態鏈接庫都必須要導出一個ServiceMain()函數,用來處理服務任務。 例如rpcss(Remote Procere Call)在注冊表中的位置是 HKEY_LOCAL_,它的參數子鍵Parameters里有這樣一項: "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 當啟動rpcss服務時,svchost就會調用rpcss.dll,並且執行其ServiceMain()函數執行具體服務。 既然這些服務是使用共享進程方式由svchost啟動的,為什麼系統中會有多個svchost進程呢?ms把這些服務分為幾組,同組服務共享一個svchost進程,不同組服務使用多個svchost進程,組的區別是由服務的可執行程序後邊的參數決定的。 例如rpcss在注冊表中 HKEY_LOCAL_ 有這樣一項: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就屬於rpcss組,這在服務管理控制台也可以看到。 svchost的所有組和組內的所有服務都在注冊表的如下位置: HKEY_LOCAL_ NTCurrentVersionSvchost,例如windows 2000共有4組rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman. Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.
Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
在啟動一個svchost.exe負責的服務時,服務管理器如果遇到可執行程序內容ImagePath已經存在於服務管理器的映象庫中,就不在啟動第2個進程svchost,而是直接啟動服務。這樣就實現了多個服務共享一個svchost進程。 3. Svchost代碼 現在我們基本清楚svchost的原理了,但是要自己寫一個DLL形式的服務,由svchost來啟動,僅有上邊的信息還有些問題不是很清楚。比如我們在導出的ServiceMain()函數中接收的參數是ANSI還是Unicode?我們是否需要調用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher來注冊服務控制及調度函數? 這些問題要通過查看svchost代碼獲得。下邊的代碼是windows 2000+ service pack 4 的svchost反匯編片段,可以看出svchost程序還是很簡單的。 主函數首先調用ProcCommandLine()對命令行進行分析,獲得要啟動的服務組,然後調用SvcHostOptions()查詢該服務組的選項和服務組的所有服務,並使用一個數據結構 svcTable 來保存這些服務及其服務的DLL,然後調用PrepareSvcTable() 函數創建 SERVICE_TABLE_ENTRY 結構,把所有處理函數SERVICE_MAIN_FUNCTION 指向自己的一個函數FuncServiceMain(),最後調用API StartServiceCtrlDispatcher() 注冊這些服務的調度函數。 ; =============================== Main Funcion =======================================
.text:010010B8 public start .text:010010B8 start proc near .text:010010B8 push esi .text:010010B9 push edi .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter .text:010010BF xor edi, edi .text:010010C1 call ds:SetUnhandledExceptionFilter .text:010010C7 push 1 ; uMode .text:010010C9 call ds:SetErrorMode .text:010010CF call ds:GetProcessHeap .text:010010D5 push eax .text:010010D6 call sub_1001142 .text:010010DB mov eax, offset dword_1003018 .text:010010E0 push offset unk_1003000 ; lpCriticalSection .text:010010E5 mov dword_100301C, eax .text:010010EA mov dword_1003018, eax .text:010010EF call ds:InitializeCriticalSection .text:010010F5 call ds:GetCommandLineW .text:010010FB push eax ; lpString .text:010010FC call ProcCommandLine .text:01001101 mov esi, eax .text:01001103 test esi, esi .text:01001105 jz short lab_doservice .text:01001107 push esi .text:01001108 call SvcHostOptions .text:0100110D call PrepareSvcTable .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi .text:01001116 jz short loc_1001128 .text:01001118 mov eax, [esi+10h] .text:0100111B test eax, eax .text:0100111D jz short loc_1001128 .text:0100111F push dword ptr [esi+14h] ; dwCapabilities .text:01001122 push eax ; int .text:01001123 call InitializeSecurity .text:01001128 .text:01001128 loc_1001128: ; CODE XREF: start+5Ej .text:01001128 ; start+65j .text:01001128 push esi ; lpMem .text:01001129 call HeapFreeMem .text:0100112E .text:0100112E lab_doservice: ; CODE XREF: start+4Dj .text:0100112E test edi, edi .text:01001130 jz ExitProgram .text:01001136 push edi ; lpServiceStartTable .text:01001137 call ds:StartServiceCtrlDispatcherW .text:0100113D jmp ExitProgram .text:0100113D start endp ; =============================== Main Funcion end =========================================== 由於svchost為該組的所有服務都注冊了svchost中的一個處理函數,因此每次啟動任何一個服務時,服務管理器SCM都會調用FuncServiceMain() 這個函數。這個函數使用 svcTable 查詢要啟動的服務使用的DLL,調用DLL導出的ServiceMain()函數來啟動服務,然後返回。 ; ============================== FuncServiceMain() ===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o .text:01001504 .text:01001504 arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch .text:01001504 .text:01001504 push ecx .text:01001505 mov eax, [esp+arg_4] .text:01001509 push ebx .text:0100150A push ebp .text:0100150B push esi .text:0100150C mov ebx, offset unk_1003000 .text:01001511 push edi .text:01001512 mov edi, [eax] .text:01001514 push ebx .text:01001515 xor ebp, ebp .text:01001517 call ds:EnterCriticalSection .text:0100151D xor esi, esi .text:0100151F cmp dwGroupSize, esi .text:01001525 jbe short loc_1001566 .text:01001527 and [esp+10h], esi .text:0100152B .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj .text:0100152B mov eax, svcTable .text:01001530 mov ecx, [esp+10h] .text:01001534 push dword ptr [eax+ecx] .text:01001537 push edi .text:01001538 call ds:lstrcmpiW .text:0100153E test eax, eax .text:01001540 jz short StartThis .text:01001542 add dword ptr [esp+10h], 0Ch .text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize .text:0100154E jb short loc_100152B .text:01001550 jmp short loc_1001566 .text:01001552 ; =================================================
.text:01001552 .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable .text:01001558 lea eax, [esi+esi*2] .text:0100155B lea eax, [ecx+eax*4] .text:0100155E push eax .text:0100155F call GetDLLServiceMain .text:01001564 mov ebp, eax ; dll ServiceMain Function address .text:01001566 .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj .text:01001566 push ebx .text:01001567 call ds:LeaveCriticalSection .text:0100156D test ebp, ebp .text:0100156F jz short loc_100157B .text:01001571 push [esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0] .text:01001579 call ebp .text:0100157B .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj .text:0100157B pop edi .text:0100157C pop esi .text:0100157D pop ebp .text:0100157E pop ebx .text:0100157F pop ecx .text:01001580 retn 8 .text:01001580 FuncServiceMain endp ; sp = -8 ; ============================== FuncServiceMain() end ======================================== 由於svchost已經調用了StartServiceCtrlDispatcher來服務調度函數,因此我們在實現DLL實現時就不用了,這主要是因為一個進程只能調用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 來注冊響應控制請求的函數。最後我們的DLL接收的都是unicode字元串。 由於這種服務啟動後由svchost載入,不增加新的進程,只是svchost的一個DLL,而且一般進行審計時都不會去HKEY_LOCAL_ NTCurrentVersionSvchost 檢查服務組是否變化,就算去檢查,也不一定能發現異常,因此如果添加一個這樣的DLL後門,偽裝的好,是比較隱蔽的。 4. 安裝服務與設置 要通過svchost調用來啟動的服務,就一定要在HKEY_LOCAL_ NTCurrentVersionSvchost下有該服務名,這可以通過如下方式來實現: 1) 添加一個新的服務組,在組里添加服務名 2) 在現有組里添加服務名 3) 直接使用現有服務組里的一個服務名,但本機沒有安裝的服務 4) 修改現有服務組里的現有服務,把它的ServiceDll指向自己 其中前兩種可以被正常服務使用,如使用第1種方式,啟動其服務要創建新的svchost進程;第2種方式如果該組服務已經運行,安裝後不能立刻啟動服務,因為svchost啟動後已經把該組信息保存在內存里,並調用API StartServiceCtrlDispatcher() 為該組所有服務注冊了調度處理函數,新增加的服務不能再注冊調度處理函數,需要重起計算機或者該組的svchost進程。而後兩種可能被後門使用,尤其是最後一種,沒有添加服務,只是改了注冊表裡一項設置,從服務管理控制台又看不出來,如果作為後門還是很隱蔽的。比如EventSystem服務,預設是指向es.dll,如果把ServiceDll改為EventSystem.dll就很難發現。 因此服務的安裝除了調用CreateService()創建服務之外,還需要設置服務的ServiceDll,如果使用前2種還要設置svchost的注冊表選項,在卸載時也最好刪除增加的部分。 註: ImagePath 和ServiceDll 是ExpandString不是普通字元串。因此如果使用.reg文件安裝時要注意。 5. DLL服務實現 DLL程序的編寫比較簡單,只要實現一個ServiceMain()函數和一個服務控製程序,在ServiceMain()函數里用RegisterServiceCtrlHandler()注冊服務控製程序,並設置服務的運行狀態就可以了。 另外,因為此種服務的安裝除了正常的CreateService()之外,還要進行其他設置,因此最好實現安裝和卸載函數。 為了方便安裝,實現的代碼提供了InstallService()函數進行安裝,這個函數可以接收服務名作為參數(如果不提供參數,就使用預設的iprip),如果要安裝的服務不在svchost的netsvcs組里安裝就會失敗;如果要安裝的服務已經存在,安裝也會失敗;安裝成功後程序會配置服務的ServiceDll為當前Dll。提供的UninstallService()函數,可以刪除任何函數而沒有進行任何檢查。 為了方便使用rundll32.exe進行安裝,還提供了RundllInstallA()和RundllUninstallA()分別調用InstallService()及UninstallService()。因為rundll32.exe使用的函數原型是: void CALLBACK FunctionName( HWND hwnd, // handle to owner window HINSTANCE hinst, // instance handle for the DLL LPTSTR lpCmdLine, // string the DLL will parse int nCmdShow // show state ); 對應的命令行是rundll32 DllName,FunctionName [Arguments] DLL服務本身只是創建一個進程,該程序命令行就是啟動服務時提供的第一個參數,如果未指定就使用預設的svchostdll.exe。啟動服務時如果提供第二個參數,創建的進程就是和桌面交互的。幹掉Svchost.exe進程! 1.錯誤的解決方法描述 當我們按下Alt+Ctrl+Del打開任務管理器,發現進程中出現多個Svchost.exe,則表明系統中毒,我們首先將所有的Svchost結束掉,然後使用相關的殺毒工具查殺病毒。 注: 2003年的夏天,「沖擊波」病毒橫行的時候有一種說法就是Svchost.exe都是病毒,一看到就要刪除。這種說法讓電腦用戶人心惶惶,因為每個使用 Windows XP系統的用戶在按照文章中介紹的檢查有無Svchost.exe的方法都可以找到幾個Svchost.exe進程。 有關Svchost.exe詳見: http://forum.ikaka.com/topic.asp?board=3&artid=6087605 2.方案由來及後果 在很多人的印象中,每個應用程序一般只對應一個進程,如QQ對應QQ.EXE進程、記事本對應notepad.exe進程等。所以當看到系統有多個同樣名字的進程時,總是會將其聯想為病毒或者木馬程序在作怪。如果不加思索,野蠻的將其中的某些Svchost.exe進程結束掉,會讓系統的運行變得不穩定。 3.正確的解決辦法 Windows 進程分為獨立進程和共享進程兩種,Svchost.exe屬於後者。Windows XP為了節約系統資源,將很多個系統服務做為共享方式由Svchost.exe來啟動。Svchost本身只是作為服務宿主,並不能實現任何服務功能, svchost通過調用相應服務的動態鏈接庫(DLL)來啟動該服務,而Windows將這些服務分為幾個組,同組的服務共享一個Svchost進程,不同的組所指向的Svchost不同。通常情況下,Windows XP有4個由Svchost啟動的服務組,也就是說Windows XP系統一般有4個Svchost.exe進程。當然某些應用程序或服務也有可能會調用Svchost,所以當你看到系統中有多餘4個的 Svchost.exe進程,也不要盲目判斷系統中了病毒。實際上Svchost.exe進程的個數跟是否中毒無直接關系。 小提示: ★ 筆者做了下面一個非常有趣的測試:打開任務管理器,切換到「進程」選項卡,首先手動結束掉由上到下的第三個Svchost.exe進程,結束完後系統會馬上重新建立該進程,接下來我們手動結束掉由上到下的最後一個Svchost.exe進程,系統會出現一個類似中了沖擊波病毒的對話窗口,並倒計時關機,這是由於該Svchost.exe進程引導RPC服務,終止該進程則導致RPC服務中斷,系統自然會重新啟動了。 ★Windows 2000中一般有兩個Svchost.exe進程,Windows Server 2003則非常多,一般有6個。 既然系統中Svchost.exe進程數與是否中毒無關,我們究竟如何區別正常的和病毒偽造的Svchost進程呢? 我們可以使用下面兩種方法來鑒別: 方法一: 在系統所在分區進行搜索,如果發現多個Svchost.exe文件,則系統很有可能中毒。正常的Svchost.exe位於%windir%\\ system32目錄下,如果發現其它目錄中有Svchost.exe文件,你就要小心了。例如沖擊波的變種Win32.Welchia.Worm會在% windir%\\system32\\wins目錄種下Svchost.exe文件。 方法二: 察看Svchost.exe進程對應文件的路徑。 Windows XP自帶的任務管理器中無法察看,我們需要藉助第三方工具,例如Windows優化大師自帶的進程管理工具,運行它後定位到Svchost.exe進程,可以看到它對應的運行文件的真實路徑。 小提示: ★不少木馬程序會採用將自己偽裝成跟常見進程相似的文件名或者相同的文件名但擴展名不相同,如果你在任務管理器中看到Scvhost.exe、Svch0st.exe等進程,肯定有木馬已經植入你的系統。 ★ 很多朋友在查看CPU佔用率時,一個叫做「System Idle Process」的進程常常會顯示為90-99%。不必擔心,實際上恰恰相反的是這里的90-99%是CPU資源空閑了出來的資源。這里的數字